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ZUSAMMENFASSUNG 

Verfahren zur dynamischen Bestimmung von Zugriffsrechten 



Die Erfindung bezieht sich auf ein Netzwerk mit Terminals urid einem auf alien Terminals 
verteilten Softwaresystem. Das Softwaresystem enthalt wenigstens ein zugrifFsgeschutztes 
5 Objekt (14) und ein Filter (9), welches zur Bestimmung der ZugrifFsrechte eines Benutzers 
fiir ein zugrifFsgeschutztes Objekt (14) vorgesehen ist. 



Fig. 3 
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BESCHREIBUNG 

Verfahren zur dynamischen Bestimmung von Zugriffsrechten 

Die Erfindung bezieht sich auf ein Netzwerk mit Terminals und einem auf alien Terminals 
verteilten Softwaresystem. 

Ein solches Netzwerk ist aus Ralf Steinmetz (Hrsg.): »,Kommunikation in verteilten 
Systemen (KiVS)", 11. ITG/GI-Fachtagung, Darmstadt, 2.-5. Marz 1999; Stephan 
Abramowski, Heribert Baldus > Tobias Helbig: „Digitale Netze in Wohnungen — Unterhal- 
tungselektronik im Umbruch", Seiten 340 bis 351, bekannt. Es werden in dieser Ver- 
offeiitlichung Anforderungen fur ein zukunftiges Netzwerk im Heimbereich mit der darin 
verwendeten Software beschrieben. Wie in einem solchen Netzwerk mit einem verteilten 
Softwaresystem Zugriffsbeschrankungen realisiert werden, wird nicht naher beschrieben. 

Der Erfindung liegt die Aufgabe zugrunde, ein Netzwerk mit einem Softwaresystem zu 
schaffen, bei welchem die Zugriffsrechte des Benutzers bestimmt werden konnen. 

Die Aufgabe wird durch ein Netzwerk der eingangs genannten Art dadurch gelbst, 
dass das Netzwerk wenigstens ein zugriffsgeschutztes Objekt enthalt, und 
dass das Softwaresystem wenigstens ein Filter enthalt, welches anhand erst zum ZugrifFs- 
zeitpunkt vorhandener Daten zur Auswertung der Zugriffsrechte eines Benutzers fur ein 
zugriffsgeschutztes Objekt vorgesehen ist. 

Greift ein Benutzer oder ein Mitglied einer Behutzergruppe auf ein zugriffsgeschutztes 
Objekt des Netzwerks zu, wird mit Hilfe eines Filters uberpriift, ob dieser Zugriff zulassig 
ist. Auf diese Weise konnen bestimmte Objekte, z.B. Gerate, Inhalte wie Filme oder • 
Anwendungen gegen unenyiihschte ZugrifFe durch Benutzer geschutzt werden. Der haufig 
erwiinschte Schutz gegen unkontrollierte Zugriffe auf das Netzwerk durch Kinder kann 
durch das Filter realisiert werden. 



Um die Zugriffsbedingungen auswerten zu konnen, bendtigt das Filter bestimmte Daten. 
Diese Daten werden z.B. in Form von Parametern eirier Nachricht dem Filter zugefiihrt 
und konnen eine Anderung der Zugriffsrechte durch das Filter bewirken. Einem Kind 
kann z.B. der Zugriffauf ein Fernsehgerat wahrend des ZugrifFs entzogen werden, falls die 
maximale Zeit fur die Nutzung des Fernsehgerates erreicht wurde. 



Nach der Nutzungsaufnahme durch eine Anwendung wird ein Methodenaufruf an eine als 
Ressourcenmanager bezeichnete Softwarekomponente geschickt, welche Ressourcen wie 
Gerate, Inhalte, Nutzdaten, Verwaltungsdaten, Anwendungen verwaltet und eine Ober- 
prtifung der Zugriffsrechte veranlassen kann. Der Ressourcenmanager stellt fest, dass auf 
ein zugriffsgeschiitztes Objekt zugegriffen werden muss, deshalb muss auf die Einhaltung 
der Zugriffsrechte geachtet werden. Aus diesem Grund veranlasst der Ressourcenmanager 
durch einen Methodenaufruf eine als Zugriffsrechtemanager bezeichnete Softwarekom- 
ponente, die Zugriffsrechte des Benutzers auf das gewiinschte Objekt zu uberpriifen. Falls 
der Zugriffsrechtemanager anhand einer Datenstruktur z.B. in Form eines Baumes oder 
einer Liste feststellt, dass der Einsatz eines Filters notwendig ist, wird das Filter durch eine 
Methode aktiviert. 

Der fur die Oberpriifung der Zugriffsrechte notwendige Baum besteht aus mehreren 
Kiioten, in denen die Benutzer mit der erlaubten Nutzung zu jeweils einem zugriffsbe- 
schrankten Objekt definiert werden. 

Ein Ausfiihrungsbeispiel der Erfindung wird nachstehend anhand der Figuren naher 
erlautert. Es zeigen: . , 

Fig. 1 ein Netzwerk mit verschiedenen Terminals, 

Fig. 2 yerschiedene Softwareebenen des im Netzwerk verwendeten 

Softwaresystems 

Fig. 3 prinzipielle / funktionelle Darstellung eines Filters 

Fig. 4 Zeichengabeablaufdiagramm zur zeitlichen Darstellung der Reihenfolge der 

Aktionen wahrend einer Ressourcen-Reservierung 
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Fig. 5 Zeichengabeablaufdiagramm zur zeitlichen Darstellung der Reihenfolge der 

Aktionen wahrend eines Widerrufs der ZugrifFsrechte 

Fig. 6 . softwaremafiige Struktur bzw. Datenstruktur der Objekte in Form eines 

Baumes \ 

Fig. 1 zeigt ein Netzwerk, welches verschiedene Terminals 1 fiber ein Bussystem 2 mit- 
einander koppelt. Die Terminals 1 konnen auch iiber eine drahtlose Verbindung 3 und 
eine Sende-/Empfangsstation 4 mit dem Bussystem 2 gekoppelt werden. Hierbei konnen 
z.B. Infrarot-, Ultraschall- oder Funkverbindungen verwendet werden. 
Solche Terminals konnen PCs und Gerate der Unterhaltungselektronik, wie z.B. Fernseh- 
gerat, Set-Top-Box, Tuner, Kamera, digitaler Videorecorder, CD-Spieler sein. 

Der Benutzer startet an einem Terminal 1 mit Hilfe eines auf alien Terminals 1 ent- 
haltenen, verteilten Softwaresystems eine gewiinschte Anwendung im Netzwerk. 

In Fig. 2 ist das Softwaresystem dargestellt, welches aus verschiedenen Softwareebenen 
besteht, die auf das Betriebssystern aufsetzten. Die oberste Softwareebene ist eine Anwen- 
dungsebene 5- Die folgende Softwareebene ist eine Infrastrukturebene 6 und die unterste 
Softwareebene ist eine Netzwerkebene 7. 

Die Infrastrukturebene 6 mit Softwarekomponenten zur Infrastrukturverwaltung enthalt 
einen Zugriffsrechtemanager 8 und ein Filter 9, das ein Programmcode zur dynamischen 
Bestimmung und Auswertung der ZugrifFsrechte ist (Fig. 3). ZugrifFsrechte, die z. B. die 
Benutzung, Anderung, Loschung betrefFen, und von keinen dynamischen Grofien 
abhangen, lassen sich statisch im Vorfeld festlegen. Andere Zugriflfsrechte, die von 
dynamischen Grofien wie z.B. die' Kostenlimitieruhg fur InternetzugrifF, Zeitlirnits fiir 
Fernsehen oder Beschrankungen des ZugrifFs auf bestimmte Inhalte abhangen, konnen 
nicht im Vorfeld bestimmt werden, und aufierdem konnen sich die ZugrifFsbedingungen 
wahrend des ZugrifFs andern. Eine Aufeahlung aller Objekte fur die ein ZugrifF verboten 
bzw. erlaubt ist, ist in eihigen Fallen (z.B. alle erlaubten Filme) nicht moglich, deshalb 
mussen die ZugrifFsrechte zum ZugrifFszeitpunkt uberpriift werden (bei Filmen z.B. 
anhand der Klassifizierung). Um die ZugrifFsrechte dynamisch wahrend eines ZugrifFs 



festzulegen, benotigt das Filter 9 aktuelle Daten (dynamische Grofien), die eine zusatzliche 
Information (aktuelle Zeitangaben, Kosteniibersicht zum ZugrifFszeitpunkt, etc.) dar-' 
stellen. Das Filter uberwacht die Veranderung der ZugrifFsrechte und lost den Widerruf 
des ZugrifFs aus. Andern sich die ZugrifFsrechte wahrend des ZugrifFs, z.B. ist die 
maximale Zeit fiir die Benutzung des Fernsehgerates abgelaufen, rnuss das Filter den 
Widerruf der ZugrifFsrechte veranlassen (Fig. 5). Zuvor wiirde es in diesem Beispiel dem 
Benutzer eine Warnung, dass die verbleibende Zeit sich dem Ende nahert, zukommen 
lassen oder ihn bereits bei Beginn der Anwendung iiber die verbleibende Zeit informieren. 

Fig. 3 verdeutlicht die Funktion des Filters. Wahrend einer Nutzungsaufnahme wird eine 
Anwendung 10 durch einen Benutzer des Netzwerks gestartet. Mit einer Anfrage in Form 
einer Methode 1 1 an einen Ressourcenmanager 12, der fur die Einhaltung der ZugrifFs- 
rechte zu den von ihm verwalteten Ressourcen sorgt, fordert die Anwendung 10 die 
benotigten Ressourcen an. Hierbei wird die Menge aller unterschiedlicher Methoden- 
aufrufe und -wiedergaben, durch die mit den Bezugszeichen 1 1 dargestellten Doppelpfeile, 
reprasentiert und wird im folgendem yereinfacht als Methode 1 1 benannt. Analog repra- 
sentieren die mit Bezugszeichen 13 dargestellten Pfeile die Menge aller unterschiedlicher 
Nachrichten und wird vereinfacht als Nachricht 13 benannt.! Der Ressourcenmanager 12 
schickt eine Anfrage in Form einer Methode 1 1 an einen ZugrifFsrechtemanager 8, ob ein 
ZugrifFdes Benutzers zulassig ist oder nicht. Mit Hilfe einer strukturellen Anordnung yon 
Objekten 14 in Form eihes Baumes 15 (Fig.6), welcher sich innerhalb des ZugrifFsrechte- 
managers 8 befindet, werden die ZugrifFsrechte des Benutzers auf ein ausgewahltes Objekt 
14 uberpruft. Falls der ZugrifFsrechtemanager 8 feststellt, dass der Einsatz eines Filters 9 
notwendig ist, wird dieser mit einer Methode 1 1 gestartet. Das Ergebnis des^ Filters 9 wird 
in Form einer Methode 1 1 bis zur Anwendung 10 geliefert. Wenn die Bestatigung der 
ZugrifFsrechte den Ressourcenmanager 12 erreicht hat, stofit dieser mit einer Methode 11 
einen Geratemanager 16 an, der im Gegensatz zum Ressourcenmanager 12 nur fiir die 
Verwaltung der Gerate ohne Oberpriifung der ZugrifFsrechte zustandig ist. Der Gerate- 
manager 16 reserviert durch eine Methode 11 ein gewunschtes Objekt 14 und schickt eine 
entsprechende Antwort durch eine Methode 1 1 iiber den Reservierungsstatus an den Res- 
sourcenmanager 12. Falls sich die ZugrifFsrechte wahrend des ZugrifFs als Folge einer 
Anderung bestimmter Daten (z. B Zeit, Kosten der Nutzung) andern, wird eine Nachricht 
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13 vom Filter 9, das laufend iiber bestimmte Ereignisse (z.B. Zeit, etc.) im Netz informiert 
wird, an den Zugriffsrechtemanager 8 verschickt, der wiederum den Ressourcenmanager 
12 informiert. 

In Fig. 4 ist die zeitliche Reihenfolge der Aktionen wahrend einer Ressourcen-Reservierung 
beschrieben. Urn eine Ressource zu reservieren stellt die Anwendung (AP) 10 eine Anfrage 
17 an den Ressourcenmanager (RM) 12. Bevor die Reservierung stattfindet, miissen die 
ZugrifFsrechte des Benutzers auf das Objekt 14 uberpruft werden. Aus diesem Grund wird 
eine weitere Anfrage 18, welche u.a. die Art der angestrebten Nutzung beinhaltet, an den 
Zugriffsrechtemanager (ZM) 8 gestellt. Nachdem der ZugrifFsrechtmanager 8 festgestellt 
hat, dass die ZugrifTsrechte fur das angeforderte Objekt mit Hilfe eines Filters bestimmt 
werden miissen, wird die Aktivierung 19 des Filters (FI) 9 veranlasst. Durch eine Methode 
20 wird eine entsprechende Antwort uber den Zugriffsrechtemanager 8 zum Ressourcen- 
manager 12 signalisiert. Mit einer Anfrage 21 an den Geratemanager (GM) 16 wird die 
eigentliche Reservierung gestartet. Geratemanager 16 sendet einen Reservierungsbefehl 22 
an das Objekt (OB) 14. Das Objekt \4 schickt dem Geratemanager 16 einen Reser- 
vierungsstatus 23, der ah den Ressourcenmanager 12 weiter geleitet wircL Der Ressourcen- 
manager 12 informiert durch eine Nachricht 24 den Zugriffsrechtemanager 8 uber die 
Reservierung (Allokation) der Ressource. Diese Nachricht 24 wird an das Filter 9 weiter- 
geleitet. Der Ressourcenmanager 12 teilt durch eine Nachricht 25 der Anwendung 10 die 
erfolgreiche Reservierung mit. 

Fig. 5 stellt die zeitliche Reihenfolge der Aktionen, die zu einem Widerruf der ZugrifTs- 
rechte wahrend eines ZugrifTs fuhren, dar. Das Filter 9 erzeugt eine Nachricht 26, die eine 
Anderung der ZugrifFsrechte signalisiert und schickt diese an den Zugriffsrechtemanager 8. 
Daraufhin informiert der Zugriffsrechtemanager 8 den Ressourcenmanager 12 iiber eine 
Anderung der Zugriffsrechte. Der Ressourcenmanager 12 veranlasst eine erneute Ober- 
priifung der ZugrifFsrechte, um festzustellen, wie sich die ZugrifFsrechte verandert haben. 
Er schickt eine Nachricht 27 an den ZugrifFsrechtemanager 8, der eine entsprechende 
Anfrage 28 an das Filter 9 richtet. Das Filter 9 stellt fest, dass kein ZugrifF mehr erlaubt ist 
und sendet einen Widerruf 29 an den Zugriffsrechtemanager 8, welch er den Widerruf 29 
an Ressourcenmanager 12 weiterleitet. Der Ressourcenmanager 12 informiert mit einer 
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Nachricht 30 den Zugriffsrech reman ager 8 iiber die Freigabe der Ressource. Der Zugriffs- 
rechtemanager 8 wiederum benachrichtigt mit einer Nachricht 31 das Filter 9 iiber die 
Freigabe der Ressource. Im weiteren Verlauf wird die Anwendung 10 iiber eine Nachricht 
32 vom Ressourcenmanager 12 informiert, dass der Zugriff nicht mehr moglich ist. Der 
5 Geratemanager 16 wird vom Ressourcenmanager 12 mit einer Aufforderung 33 beauftragt, 
die Ressource frei zu geben. Der Geratemanager 16 schickt eine entsprechende Nachricht 
34 an das Objekt 14. 

In Fig. 6 wird beispielhaft der Baum 15 vorgestellt. Er besteht aus mehreren Knoten 35 bis 
10 44, in denen sich zu einem bestimmten Objekt 14 gehorende Aufzahlung (Liste) der 
ZugrifFsrechte fur einzelne Benutzer oder Benutzergruppen befindet. Die Knoten sind 
hierarchisch angeordnet d.h. wenn der Benutzer nicht in einem bestimmten Knoten eines 
Objekts 14 gefiinden wurde, aber in dem dariiber liegenden Knoten eingetragen ist, gelten 
die ZugrifFsrechte des oberen Knotens. Der Benutzer hat Zugriff auf die Objekte 14 der 
15 unteren Knoten. 

• 

In diesern Beispiel en t halt der oberste Knoten 35 des Baumes 15 die Liste der erlaubten 
Benutzer aller zugriffsbeschrankten Objekte 14 (ACO). Die darunter liegenden Knoten 
enthalten jeweils die erlaubten Benutzer aller Gerate (DE), Knoten 36, aller Anwendungen 

20 (AP), Knoten 37 und aller Inhalte (CO), Knoten 38. Der unter dem Knoten 36 liegende 
Knoten 39 enthalt die Liste aller erlaubten Benutzer aller Tuner (TU). In diesem Beispiel 
existieren zwei Tuner, deshalb unterliegen dem Knoten 39 die Knoten 40 erster Tuner 
(TU1) und Knoten 42 zweiter Tuner (TU2) jeweils mit der Liste der erlaubten Benutzer 
des ersten bzw. zweiten Tuners. Unter dem, Knoten 38 befindet sich der Knoten 42 mit 

25 der Liste aller erlaubten Benutzer der Inhalte in jedem Fernsehprogramm (CH). Der 
darunter liegende Knoten 43 beinhaltet die Liste der erlaubten Benutzer des ersten Pro- 
gramms (PR1) und der Knoten 44 des zweiten Programms (PR2) beinhaltet die erlaubten 
Benutzer cles zweiten Programms. Ein Benutzer (z.B. Max) mochte Fernsehen gucken (z.B. 
PR1, das uber den ersten Tuner (TU1) verfugbar ist). Die Anwendung 10 stellt fest, dass 

30 eine bestimmte Ressource zur Ausfuhrung der gewiinschten Anwendung benotigt wird, 
deshalb schickt sie eine Anfrage in Form eines Methodenaufrufs an den Ressourcen- 
manager 12, die entsprechende Ressource zu reservieren. Da der Tuner (TU1) ein zugriffs- 
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geschiitztes Objekt ist, veranlasst der Ressourcenmanager 12 den Zugriffsrechtemanager 8 
die ZugrifFsrechte zii iiberprufen, indemer einen Methodenaufruf mit der Art (hier 
Benutzung) der gewiinschten Nutzung an den Zugriffsrechtemanager 8 schickt. Der 
Zugriffsrechtemanager 8 benutzt fur die Bestimmung der ZugrifFsrechte den erwahnten 
Baum 15 und priift, ob Max in der Liste des Knotens 40 aufgefuhrt ist. Falls dies der Fall 
ist und der Zugriffsrechtemanager 8 feststellt, dass die ZugrifFsrechte fur Tuner ( TU1) mit 
Hilfe des Filters 9 bestimmt werden miissen ( z.B. da Max nur eine Stunde taglich das 
Fernsehgerat nutzen darf), wird das Filter 9 durch den Zugriffsrechtemanager 8 iiber einen 
Methodenaufruf aktiviert und nach geltenden Zugriflferechten befragt. Im Falle, dass Max 
nicht in dem Knoten 40 aufgefuhrt wird, wird sein Name in dem dariiber liegenden 
Knoten 39 gesucht. Dieser Vorgang wird solange wiederholt, bis der Name Max in einem 
der Knoten gefunden wurde, oder der Vorgang wird am obersten Knoten beendet. Falls 
der Name in einem der oberen Knoten enthal ten ist, gelten die ZugrifFsrechte des bberen 
Knotens. Ist der gewunschte Zugriff giiltig wie in diesem Beispiel, dann schickt das Filter 9 
eine entsprechende Nachricht iiber den Zugriffsrechtemanager 8 an den Ressourcen- 
manager 12. Mit dieser Nachricht signalisiert das Filter 9, dass es sich um ein dynamisches 
Zugriffsrecht handelt, das sich im Laufe der Zeit andern kann. Mit Hilfe des Gerate- 
managers 16 reserviert der Ressourcenmanager 12 das gewunschte Objekt 14. Das Objekt 
14 teilt iiber eine Nachricht den Reservierungsstatus dem Geratemanager 16 mit und 
dieser leitet sie an den Ressourcenmanager 12 weiter. Der Ressourcenmanager 12 benach- 
richtigt sowohl die Anwendung 10 als auch den Zugriffsrechtemanager 8 und dieser das 
Filter 9 iiber die erfolgreiche Reservierung des Objekts 14. 
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1. Netzwerk mit Terminals und einem auf alien Terminals verteil ten Softwaresystem, 
dadurch gekennzeichnet, 

dass das Netzwerk wenigstens ein zugriffsgeschiitztes Objekt (14) enthalt, und 
dass das Softwaresystem wenigstens ein Filter (9) enthalt, welches anhand erst zum 
Zugriffszeitpunkt vorhandener Daten zur Auswertuhg der Zugriffsrechte eihes Benutzers 
fiir ein zugriffsgeschiitztes Objekt (14) vorgesehen ist. 

2. Netzwerk nach Anspriich 1 s 
dadurch gekennzeichnet. 

dass das Filter (9) wahrend des Zugriffs auf das zugriffsgeschiitzte Objekt zur Auswertung 
zusatzlich auftretender Daten vorgesehen ist, und 

dass das Filter zur Uberwachung der Veranderung der Zugriffsrechte und zum Auslosen 
des Widerrufs des Zugriffs auf das zugriffsgeschiitzte Objekt vorgesehen ist. 

3. Netzwerk nach Anspruch 2 
dadurch gekennzeichnet, 

dass in dem Softwaresystem nach Nutzungsaufnahme durch eine Anwendung (10) mittels 
einer Methode (1 1) eine als Ressourcenmanager (12) bezeichnete Softwarekomponente 
zur Einhaltung der Zugriffsrechte vorgesehen ist. 

4. Netzwerk nach Anspruch 3 
dadurch gekennzeichhet. 

dass das Softwaresystem eine als Zugriffsrechtemanager (8) bezeichnete 
Softwarekomponente enthalt, die zusammen mit dem Filter (9) durch den 
Ressourcenmanager (12) zur Oberpriifung der Zugriffsrechte beauftragt werden. 
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5- Netzwerk nach Anspruch 4 
dadurch gekennzeichnet, 

dass der Zugriffsrechtemanager (8) eine Datenstruktur in Form eines Baumes (15) zur 
Anordnung von zugriffsgeschiitzten Objekten (14) enthalt, und 
5 dass der Baum (14) aus mehreren Knoten (35 bis 44) besteht, die jeweils eine Aufzahlung 
von erlaubten Benutzern bzw. Benutzergruppen eines zugriffsgeschiitztes Objekts und zu 
jedem Benutzer bzw. jeder Benutzergruppe eine Aufzahlung der Art und Weise der 
Nutzung enthalten. 
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FIG. 2 
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FIG. 5 
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